计算机病毒virus_4讲

1、计算机病毒与木马防治计算机病毒与木马防治专题一专题一 病毒的发展与相关概念病毒的发展与相关概念专题二专题二 病毒的原理与防范病毒的原理与防范专题三专题三 当前流行病毒的防治当前流行病毒的防治专题四专题四 病毒综合防范的技术措施病毒综合防范的技术措施2第一讲：病毒的现状与相关概念3一、 计算机病毒的现状（一）武警部队受计算机病毒影响的现状（一）武警部队受计算机病毒影响的现状 日常办公中感染计算机病毒的现象十分普遍，由于受到日常办公中感染计算机病毒的现象十分普遍，由于受到计算机病毒的破坏，造成了计算机病毒的破坏，造成了软件不能运行软件不能运行、系统无法使用系统无法使用，甚至甚至重要数据遭到删除重要

2、数据遭到删除等严重的后果。等严重的后果。45（二）毒王（二）毒王“熊猫烧香熊猫烧香”病毒病毒6（1）二进制可执行文件(后缀为:EXE,SCR,PIF,COM) （2）脚本类(后缀名为:htm,html,asp,php,jsp,aspx)在感染时会删除这些磁盘上的后缀名为.GHO 局域网进行传播，进而感染局域网内所有计算机系统，最终导致整个局域网瘫痪。对办公自动化的影响：对办公自动化的影响：7（三）病毒（三）病毒将硬盘数据删除将硬盘数据删除8 在桌面上会建立一个名为“拯救硬盘.txt”的文件，内容大致为：“你的硬盘资料丢失了，是因为手机的强电磁流影响了硬盘的正常读写，你必须使用磁盘修复工具拯救找

3、回丢失的资料文件，但是，你正在使用的不是正版软件，是盗版，你必须拯救修复丢失的资料，并且尽快购买正版的软件”。开始菜单的“附件”组中生成名为“修复硬盘资料”的快捷方式。对办公自动化的影响：对办公自动化的影响：9（四）（四）U盘病毒盘病毒 办公中使用办公中使用U盘的频率高，盘的频率高，U盘病毒造盘病毒造成的影响面广，传播速度快，不依赖于网成的影响面广，传播速度快，不依赖于网络，对单机同样有严重的影响。络，对单机同样有严重的影响。10二、计算机病毒发展历程1、计算机病毒溯源、计算机病毒溯源 1949年，冯年，冯.诺伊曼在诺伊曼在复杂自动装置的复杂自动装置的理论及组织的进行理论及组织的进行中已把病毒

4、程序的蓝图中已把病毒程序的蓝图勾勒出来了。勾勒出来了。 当时，绝大部份的专家都无法想象这种当时，绝大部份的专家都无法想象这种会自我繁殖的程序是可能的，只有少数几个会自我繁殖的程序是可能的，只有少数几个科学家默默地研究冯科学家默默地研究冯诺伊曼所提出的概念。诺伊曼所提出的概念。 111、计算机病毒溯源、计算机病毒溯源20世纪世纪50年代末年代末60年代初，美国电报电话公年代初，美国电报电话公司（司（AT&T） 的的Bell实验室，实验室，Core War游戏游戏(磁芯大战磁芯大战)。道格拉斯道格拉斯 (H. Douglas McIlroy)维克多维克多 (Victor Vysottsky)罗伯特

5、罗伯特莫里斯莫里斯 (Robert T. Morris)二、计算机病毒发展历程12Core War(磁芯大战磁芯大战)。Darwin（达尔文）（达尔文）Creeper（爬行者）（爬行者）Reaper（收割者）（收割者）Dwarf（侏儒）（侏儒）Gemini（双子星）（双子星）Imp（小淘气）（小淘气）131、计算机病毒溯源、计算机病毒溯源1975 年，年，震荡波骑士震荡波骑士第一次描写了在第一次描写了在信息社会中，计算机作为正义和邪恶双方斗信息社会中，计算机作为正义和邪恶双方斗争的工具的故事。争的工具的故事。1977年，美国科幻作家雷恩在小说年，美国科幻作家雷恩在小说P-1的的青春青春(The

6、 Adolescence of P-1)，幻想了世，幻想了世界上第一个计算机病毒。界上第一个计算机病毒。二、计算机病毒发展历程141、计算机病毒溯源、计算机病毒溯源1983年，美国计算机安全学家科恩博士研制年，美国计算机安全学家科恩博士研制出一个在运行过程中可以复制自身的破坏性出一个在运行过程中可以复制自身的破坏性程序。程序。Len Adleman将其命名。将其命名。Computer Virus科恩博士科恩博士二、计算机病毒发展历程152、第一例病毒、第一例病毒1986年，巴基斯坦病毒，年，巴基斯坦病毒，Brain（大脑）病毒。（大脑）病毒。 1988年年3月月2日，一种针对苹果机的病毒发作。

7、日，一种针对苹果机的病毒发作。这天受感染的苹果机停止工作，只显示这天受感染的苹果机停止工作，只显示“向所有向所有苹果电脑的使用者宣布和平的信息苹果电脑的使用者宣布和平的信息”。以庆祝苹。以庆祝苹果机生日。果机生日。 二、计算机病毒发展历程163、互联网第一例病毒、互联网第一例病毒1988年，年，Morris ，入侵，入侵ARPNET。莫里斯直接经济损失达直接经济损失达 9600 万美元万美元 被判被判 3 年缓刑，罚款年缓刑，罚款 1 万美元万美元 二、计算机病毒发展历程174、我国第一例病毒、我国第一例病毒1988年底，在我国国家统计部门发现首例病毒，年底，在我国国家统计部门发现首例病毒，小

8、球病毒。小球病毒。1989年，年，Stoned病毒。病毒。“Your PC is now stoned”二、计算机病毒发展历程185、第一次将病毒用于战争、第一次将病毒用于战争1991年，年，“海湾战争海湾战争”中，美军第一次将计中，美军第一次将计算机病毒用于实战。算机病毒用于实战。二、计算机病毒发展历程196、病毒影响政治事件、病毒影响政治事件1994年，南非第一次多种族全民大选的记票年，南非第一次多种族全民大选的记票工作，因病毒的破坏而停顿达工作，因病毒的破坏而停顿达30余小时。余小时。二、计算机病毒发展历程207、宏病毒、宏病毒1997年，年，“宏病毒年宏病毒年”, Macro Viru

9、s。利用软件所支持的宏命令编写成的具有复制、利用软件所支持的宏命令编写成的具有复制、传染能力的宏。传染能力的宏。WORD宏病毒：宏病毒：当载入文件时先执行起始的宏，当载入文件时先执行起始的宏，Normal.dot用宏病毒感染用宏病毒感染Normal.dot则所有被编辑的文件均被染毒则所有被编辑的文件均被染毒二、计算机病毒发展历程218、第一例破坏硬件的病毒、第一例破坏硬件的病毒-CIH 1998年年8月月,公安部要求各地计算机监察处公安部要求各地计算机监察处严厉加防范一种直接攻击和破坏计算机硬严厉加防范一种直接攻击和破坏计算机硬件系统的新病毒件系统的新病毒CIH。1999年年4月月26日，日，

10、CIH病毒大规模爆发。全病毒大规模爆发。全世界至少世界至少6000万台，我国至少万台，我国至少36万台计算万台计算机受损。主板受损比例机受损。主板受损比例15%，经济损失，经济损失0.8亿人民币。亿人民币。陈盈豪 二、计算机病毒发展历程22239、浏览就可以传染、浏览就可以传染可怕的脚本病毒可怕的脚本病毒设置设置 对象对象1 = 创建对象创建对象/创建一个文件操作对象创建一个文件操作对象对象对象1.创建文本文件创建文本文件/通过这个文件对象的方法创建一个通过这个文件对象的方法创建一个TXT文件文件如果把第二句改为：如果把第二句改为：对象对象1.获取文件获取文件.拷贝拷贝(自身自身)/自身复制自

11、身复制二、计算机病毒发展历程24设置设置 Outlook对象对象 = 脚本引擎脚本引擎.创建对象创建对象(Outlook.Application) 遍历地址簿遍历地址簿 邮件对象邮件对象.收件人收件人.增加增加(地址地址)邮件对象邮件对象.主题主题 = “你好！你好！”邮件对象邮件对象.附件标题附件标题 = “这是一个有趣的东西，请打开这是一个有趣的东西，请打开”邮件对象邮件对象.附件附件.增加增加(“病毒文件病毒文件”)邮件对象邮件对象.发送发送NextNext设置设置Outlook对象对象 = 空空251999年年3月月26日日, “梅丽莎梅丽莎” Melissa病毒。病毒。2000年年5

12、月月4日日,爱虫病毒。爱虫病毒。2001年，年， CodeRed 、 CodeBlue 、Nimda等针对等针对IIS服务器漏洞病毒。服务器漏洞病毒。9、浏览就可以传染、浏览就可以传染可怕的脚本病毒可怕的脚本病毒2610、新型病毒（手机、新型病毒（手机、PDA病毒）病毒）定义：以手机为感染对象，以手机网络和计以手机为感染对象，以手机网络和计算机网络为平台，通过病毒短信等形式，对算机网络为平台，通过病毒短信等形式，对手机进行攻击，从而造成手机异常的一种新手机进行攻击，从而造成手机异常的一种新型病毒。型病毒。二、计算机病毒发展历程27 特点特点 手机病毒也是由计算机程序编写而成；手机病毒也是由计算

13、机程序编写而成； 可利用发送普通短信、彩信、上网浏览、可利用发送普通短信、彩信、上网浏览、下载软件、铃声等方式，实现网络到手机的传下载软件、铃声等方式，实现网络到手机的传播；播； 危害后果包括危害后果包括:死机、关机、删除存储的资死机、关机、删除存储的资料、向外发送垃圾邮件、拨打电话等。料、向外发送垃圾邮件、拨打电话等。 2810、新型病毒（手机病毒）、新型病毒（手机病毒）2004年年6月月Cabir在在NOKIA60系列机上传播。系列机上传播。2006年共发现年共发现226种。种。2007年达到年达到500种。种。二、计算机病毒发展历程29目标越大，对恶意软件作者的吸引力就越强。目标越大，对

14、恶意软件作者的吸引力就越强。 装有装有Symbian操作系统的手机，因为装配这种操作系统的手机，因为装配这种操作系统的手机占全球智能手机总数的操作系统的手机占全球智能手机总数的70左右。左右。 30RedBrowser的木马，手机在感染此木马后，的木马，手机在感染此木马后，将连续不断地向俄罗斯的一个手机号码发将连续不断地向俄罗斯的一个手机号码发送短信，直到用户关闭中毒手机为止。送短信，直到用户关闭中毒手机为止。每条短信都会被收取大约每条短信都会被收取大约5美元美元的额外费用。的额外费用。 31Trojanhorse病毒：是特洛伊木马病毒，病毒：是特洛伊木马病毒，病毒发作时会利用通讯簿向外拨打电

15、话病毒发作时会利用通讯簿向外拨打电话或发送邮件。或发送邮件。 32Unavailable病毒：当有来电时，屏幕上显示病毒：当有来电时，屏幕上显示的不是电话号码，而是的不是电话号码，而是“Unavailable”字样字样或一些奇异的符号。此时若接电话就会染上或一些奇异的符号。此时若接电话就会染上该病毒，同时手机内所有资料均丢失。该病毒，同时手机内所有资料均丢失。 33据统计据统计1989年年1月月,病毒种类不过病毒种类不过100种。种。1990年年1月月,超过超过150种。种。1990年年12月月,超过超过260种。种。2005年全年截获年全年截获 72836 个。2007年共截获新病毒年共截获

16、新病毒283084个。个。2009年年新增新增病毒和木马病毒和木马20684223个。个。二、计算机病毒发展历程34二、计算机病毒发展历程35（1）玩笑、恶作剧的结果。）玩笑、恶作剧的结果。 （2）个别人的报复心理产生的结果。）个别人的报复心理产生的结果。 （3）保护版权的结果。）保护版权的结果。（4 4）黑客以获取情报和经济利益为目的）黑客以获取情报和经济利益为目的 。根本原因：现代计算机的结构缺陷根本原因：现代计算机的结构缺陷直接原因：病毒制造者出于各种各样的目的直接原因：病毒制造者出于各种各样的目的三、计算机病毒产生的原因362007年，明显针对国内用户、或是明显带有年，明显针对国内用户

17、、或是明显带有“中中国制造国制造”特征的病毒，占据所有病毒总数的特征的病毒，占据所有病毒总数的37%左右，首度跃居左右，首度跃居全球第一全球第一，中国大陆地区正成为，中国大陆地区正成为全球电脑病毒全球电脑病毒危害最严重危害最严重的地区。的地区。 37导致这种现状产生的主要因素：导致这种现状产生的主要因素： 国内黑客国内黑客/病毒制造者病毒制造者集团化、产业化集团化、产业化运作，运作，批量地制造电脑病毒。批量地制造电脑病毒。 38计算机病毒经济利益？计算机病毒经济利益？3940 我们的杀毒软件在干什么我们的杀毒软件在干什么?41针对杀毒软件做攻防，已经成为普遍现象针对杀毒软件做攻防，已经成为普遍

18、现象 案例一：病毒修改杀毒软件设置，默认忽略（不查杀）查出的病毒案例一：病毒修改杀毒软件设置，默认忽略（不查杀）查出的病毒 42案例二：病毒修改系统时间让杀毒软件过期，造成该软件无法正常使用案例二：病毒修改系统时间让杀毒软件过期，造成该软件无法正常使用 43案例三：病毒破坏该案例三：病毒破坏该IM软件自带的木马查杀模块软件自带的木马查杀模块 44案例四：病毒损坏了某杀毒软件的配置文件案例四：病毒损坏了某杀毒软件的配置文件 45广义上讲，凡能够引起计算机故障、破坏计算机数据广义上讲，凡能够引起计算机故障、破坏计算机数据的程序统称为计算机病毒。的程序统称为计算机病毒。 1994年年2月月18日我国

19、颁布的日我国颁布的中华人民共和国计算机信中华人民共和国计算机信息系统安全保护条例息系统安全保护条例，第二十八条指出：，第二十八条指出：“计算机计算机病毒，是指编制或者在计算机程序中插入的破坏计算病毒，是指编制或者在计算机程序中插入的破坏计算机功能或者毁坏数据，影响计算机使用、并能自我复机功能或者毁坏数据，影响计算机使用、并能自我复制的一组计算机指令或者程序代码。制的一组计算机指令或者程序代码。” 四、计算机病毒的相关概念定义：定义：46传染性传染性: 也称也称“自我复制自我复制”或或“再生再生”。 破坏性破坏性: 良性、恶性。良性、恶性。寄生性寄生性: 病毒程序嵌入到宿主程序之中，依赖于宿主程

20、序的执病毒程序嵌入到宿主程序之中，依赖于宿主程序的执 行而生存。行而生存。 隐蔽性：隐蔽性：通常附在正常程序或磁盘中。通常附在正常程序或磁盘中。不可预见性：不可预见性：病毒对反病毒软件永远是超前的。病毒对反病毒软件永远是超前的。 可控性可控性 、潜伏性、可触发性等、潜伏性、可触发性等特征：特征：四、计算机病毒的相关概念47采用病毒体字节数采用病毒体字节数病毒体内或传染过程中的特征字符串病毒体内或传染过程中的特征字符串发作的现象发作的现象发作的时间及相关事件发作的时间及相关事件病毒发源地病毒发源地命名：命名：四、计算机病毒的相关概念48命名：命名：Worm.Nimaya 尼姆亚（熊猫烧香）W32

21、.Klez.Hmm 求职信变种W32.Nimda.Emm 尼姆达变种VBS.HappyTime 欢乐时光VBS.LoveLetter 爱虫Worm.Sasser 震荡波Worm.Sasser.f四、计算机病毒的相关概念49命名：命名：Trojan.Huigezi.z灰鸽子变种Backdoor.Huigezi.bm灰鸽子变种Blaster.Worm冲击波Macro.Word.Apr30 四月三十宏病毒四、计算机病毒的相关概念50命名：命名：l病毒家族名病毒家族名: 根据病毒特征起的名字，它是根据病毒特征起的名字，它是一个广义的病毒名称。一个广义的病毒名称。 l前缀前缀: 包含病毒的类型等相关信息

22、包含病毒的类型等相关信息。l后缀：用来标识病毒变种。后缀：用来标识病毒变种。四、计算机病毒的相关概念51前前 缀缀含含 义义解解 释释Boot引导区病毒引导区病毒Boot.WYX 。DOS DOSComDOS 病毒病毒 DosCom.Virus.Dir2.2048 （ DirII 病毒）病毒）Worm I-Worm蠕虫病毒蠕虫病毒Worm.Sasser （震荡波）。（震荡波）。Trojan特洛伊木马特洛伊木马Trojan.Win32.PGPCoder.a （文件加密（文件加密机）、机）、Backdoor后门程序后门程序Backdoor.Heidong （黑洞）。（黑洞）。Macro宏病毒宏病毒

23、Macro.Word.Apr30 常见前缀及其含义常见前缀及其含义52前前 缀缀含含 义义解解 释释Win32 PEWin95W32W95文件型病毒或文件型病毒或表示病毒的运表示病毒的运行平台行平台Win32.YamiScriptVBSJS脚本病毒脚本病毒Script.RedLof （红色结束符）。（红色结束符）。（ VBS ） Vbs.valentin （情人节）。（情人节）。PSW盗取密码的木盗取密码的木马马Trojan.PSW.Yoben.a （ 201 木马）。木马）。Harm恶意程序恶意程序Harm.Delfile （删除文件）（删除文件）Joke恶作剧程序恶作剧程序Joke.Cra

24、yMourse 53第二讲：病毒的传播与破坏原理一、引导型病毒一、引导型病毒二、文件型病毒二、文件型病毒三、木马三、木马四、蠕虫原理四、蠕虫原理54一、引导型病毒定义 开机启动时，在操作系统的引导过开机启动时，在操作系统的引导过程中被引入内存的病毒称为引导病毒。程中被引入内存的病毒称为引导病毒。 在使用被感染的磁盘（无论是软盘在使用被感染的磁盘（无论是软盘还是硬盘）启动计算机时，病毒就会首还是硬盘）启动计算机时，病毒就会首先取得系统控制权，驻留内存之后再引先取得系统控制权，驻留内存之后再引导系统，并伺机传染其他软盘或硬盘的导系统，并伺机传染其他软盘或硬盘的引导区。引导区。55二、文件型病毒文件

25、型病毒是一种感染文件扩展名为是一种感染文件扩展名为COM、EXE 等可执行程序的病毒。它等可执行程序的病毒。它的安装必须借助于病毒的载体程的安装必须借助于病毒的载体程 序，即序，即要运行病毒的载体程序，方能把文件型要运行病毒的载体程序，方能把文件型病毒引入内存。病毒引入内存。文件型病毒分为源码型病毒、嵌入型病分为源码型病毒、嵌入型病毒和外壳型病毒，其中外壳型病毒是目毒和外壳型病毒，其中外壳型病毒是目前流行的文件型病毒。前流行的文件型病毒。56三、木马的原理与防范1、什么是、什么是“木马木马”即特洛伊木马，独立程序，包含在一段正常的程序之中。意图是将被感染的系统中私有信息暴露给程序的植入者，或者

26、控制系统。572、木马的工作原理、木马的工作原理客户机/服务器的应用程序。安装：运行服务器程序。每次启动时执行。向特定IP地发送命令。三、木马的原理与防范58木马运行过程：木马运行过程： 1。木马被激活后，进入内存，并开启事先定义的木马端口，准备与控制端建立连接。 2。一个木马连接的建立首先必须满足两个条件：（1）服务端已安装了木马程序；（2）控制端，服务端都要在线 59 木马连接建立后，控制端端口和木马端口之间将会出现一条通道。 3。远程控制： 控制端具体能享有哪些控制权限控制端具体能享有哪些控制权限? 60木马得到的控制权限：木马得到的控制权限：(1)窃取密码 (2)文件操作：涵盖了WIN

27、DOWS平台上所 有的文件操作功能。 (3)修改注册表 (4)系统操作 ： 重启或关闭服务端操作系统，断开服务端网络连接，控制服务端的鼠标，键盘，监视服务端桌面操作，查看服务端进程等。613、攻击计算机的途径、攻击计算机的途径（1）将调用语句加至autoexec.bat config.sys中，或c:windowswinstart.bat中。将快捷方式加入启动菜单。三、木马的原理与防范623、攻击计算机的途径、攻击计算机的途径（2）C:WINDOWS目录下的win.ini的windows字段的“load=” “run=”后加入路径。或在system.ini的boot字段的“shell=expl

28、orer.exe”后加上木马名。三、木马的原理与防范633、攻击计算机的途径、攻击计算机的途径（3）捆绑在其它文件之中。（4）修改注册表，最常见，也最复杂。如Hkey-local-machinesoftwareMicorsoftwindows Current VersionRun等加入木马调用。或者修改文件格式的关联程序。三、木马的原理与防范643、攻击计算机的途径、攻击计算机的途径（5）网页挂马 黑客自己建立带毒网站，或者攻击流量大的黑客自己建立带毒网站，或者攻击流量大的现有网站，在其中植入木马、病毒，用户浏览现有网站，在其中植入木马、病毒，用户浏览后就会中毒。后就会中毒。 快速的批量快速的

29、批量入侵大量计算机。入侵大量计算机。 三、木马的原理与防范65 网站服务器一旦被侵入，则网站服务器一旦被侵入，则“批量挂马批量挂马”的恶意的恶意木马会密密麻麻遍布木马会密密麻麻遍布所有的网页文件所有的网页文件，普通网络管，普通网络管理员清除时极为烦琐。理员清除时极为烦琐。664、检测与清除、检测与清除（1）检查启动加载的文件。查Windows启动文件夹。在运行中输入msconfig命令。三、木马的原理与防范674、检测与清除、检测与清除（2）查看注册表。用c:windowsregedit.exe编辑三、木马的原理与防范684、检测与清除、检测与清除Hkey-local-machinesoftw

30、areMicorsoftwindows Current VersionRunHkey-local-machinesoftwareMicorsoftwindows Current VersionRunOnceHkey-local-machinesoftwareMicorsoftwindows Current VersionRunOnceExHkey-local-machinesoftwareMicorsoftwindows Current VersionRunServicesHkey-local-machinesoftwareMicorsoftwindows Current VersionRun

31、ServicesOnce三、木马的原理与防范694、检测与清除、检测与清除Hkey-Current-UsersoftwareMicorsoftwindows Current VersionRunHkey-Current-UsersoftwareMicorsoftwindows Current VersionRunOnce三、木马的原理与防范704、检测与清除、检测与清除（3）检查当前运行的进程。）检查当前运行的进程。打开任务管理器打开任务管理器按按Ctrl+Alt+ Del键键三、木马的原理与防范714、检测与清除、检测与清除（4）监控网络连接。TCP/IP端口Netstat ano并结合任务

32、管理器三、木马的原理与防范727374一些常用的端口： (1)1-1024之间的端口：这些端口叫保留端口， 是专给一些对外通讯的程序用的，如FTP使用21， 只有很少木马会用保留端口作为木马端口 的。 75(2)1025以上的连续端口：在浏览网站时，浏览器会打开多个连续的端口下载文字，图片到本地 硬盘上，这些端口都是1025以上的连续端口。 76 如发现有其它端口打开，尤其是数值比较大的端口，怀疑是否感染了木马。 如果木马有定制端口的功能，那任何端口都有可能是木马端口。 774、检测与清除、检测与清除（5）检查“组策略”中的登录运行程序 三、木马的原理与防范gpedit.msc 用户配置管理模

33、板系统登录 “在用户登录时运行这些程序” 7879 用这种方式添加的自启动程序在系统的“系统配置实用程序(msconfig)”是找不到的，在常见的注册表项中也是找不到的，非常危险。 80HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersionPoliciesExplorerRun项 注册表的 815、木马的预防、木马的预防（1）安装个人防火墙。天网、outpost、looknstop、ZoneAlarm等（2）安装具有查杀木马功能的杀毒软件。（3）经常备份并确认注册表。（4）使用网络时使用netstat ano命令检查。（5）养成良好的安装

34、软件的习惯。三、木马的原理与防范825、木马的预防、木马的预防小心下载软件不随意浏览附件加强防病毒能力显示扩展名弃用Outlook三、木马的原理与防范83四、蠕虫的原理与防范 传染机理是利用网络进行复制和传播，传染途径是通过网络、电子邮件以及优盘、移动硬盘等移动存储设备。如“熊猫烧香”。 主要利用主要利用系统漏洞系统漏洞进行传播。进行传播。 84四、蠕虫的原理与防范 病毒中文名：病毒中文名：MSN骗子骗子 病毒英文名：病毒英文名：Worm.MSN.funny 病毒类型：蠕虫病毒病毒类型：蠕虫病毒 病毒危险等级：病毒危险等级： 病毒传播途径：病毒传播途径：QQ/MSN 即时通讯工具即时通讯工具

35、病毒依赖系统：病毒依赖系统：Windows 9X/NT/2000/XP85 1在在Windows 2000/XP系统下，病毒会修改系统文件系统下，病毒会修改系统文件HOSTS，屏蔽，屏蔽937个网站，使用户登陆这些网站时会转向个网站，使用户登陆这些网站时会转向www.*，造成用户无法正常上网浏览。，造成用户无法正常上网浏览。 2在在Windows 98系统下，病毒会替换系统文件系统下，病毒会替换系统文件Rundll32.exe，可能造成系统不能关机，进而崩溃。，可能造成系统不能关机，进而崩溃。 3利用利用MSN、QQ疯狂发送广告信息，诱骗用户登陆疯狂发送广告信息，诱骗用户登陆www.*网站。网

36、站。 4向向MSN、QQ好友发送好友发送“FUNNY.EXE”文件，传播自文件，传播自身。身。四、蠕虫的原理与防范861、利用操作系统的自动更新修补漏洞。2、利用360安全卫士等工具下载最新补丁下载最新补丁。3、加强管理，专网应与外网严格隔离，防 止不必要的感染。4、遭受感染后，应先断开网络，再进行 蠕虫的清除。5、关注蠕虫出现的变种，及时升级杀毒软件， 启动实时监控。防范措施： 8788断网断网 = = 安全？安全？第三讲：流行病毒的防治（U U盘病毒）盘病毒）89一：病毒原理篇90Autorun.infAutorun.inf1、激活、激活91 保存在驱动器的根目录下的（是一个隐藏的保存在驱

37、动器的根目录下的（是一个隐藏的系统文件），它保存着一些简单的命令，告诉系系统文件），它保存着一些简单的命令，告诉系统这个新插入的光盘或统这个新插入的光盘或U U盘应该盘应该自动自动启动什么程序。启动什么程序。 92如果如果U U盘带有病毒当点击盘带有病毒当点击U U盘时：盘时：93症状：症状：某机关一台办公计算机中，某机关一台办公计算机中，DOCDOC格式格式的的WORDWORD文件突然神秘失踪，存放文件突然神秘失踪，存放DOCDOC文件的文件的文件夹却仍然存在，而且其它类型的文档文文件夹却仍然存在，而且其它类型的文档文件如电子表格件如电子表格XLSXLS、幻灯片、幻灯片PPTPPT等却没有异

38、常。等却没有异常。 94病毒运行后：病毒运行后：1 1、会在、会在C C盘根目录下生成病毒文件盘根目录下生成病毒文件 c:ww.batc:ww.bat，搜索硬盘中所有的，搜索硬盘中所有的WordWord文档：文档：dir c:dir c:* *.doc dir d:.doc dir d:* *.doc dir e:.doc dir e:* *.doc.docWORDWORD杀手病毒（杀手病毒（doc.exedoc.exe）2 2、删除文档，在、删除文档，在c:wjc:wj下复制一份，并改名为下复制一份，并改名为* *同时修改注册表，使系统无法显示隐藏文同时修改注册表，使系统无法显示隐藏文件和文

39、件扩展名。件和文件扩展名。95WordWord杀手病毒是如何激活？杀手病毒是如何激活？96AutoRun OPEN=doc.exe /自动运行自动运行 Shell = verb1 shellverb1command=doc.exe shellverb1=打开打开(&O) /右键打开右键打开Shell = verb2 shellverb2command=doc.exeshellverb2=资源管理器资源管理器(&X)U U盘中的盘中的 Autorun.inf97Wincfgs-msconfigRavmonE-RavmonDThumbs.dn-thumbs.dbExpl0rer-ExplorerS

40、po0lerspoolerSvch0st等等等等2 2、伪装和隐藏、伪装和隐藏假冒系统文件名和杀毒软件名：假冒系统文件名和杀毒软件名： 2、伪装和隐藏、伪装和隐藏假回收站方式：假回收站方式： 982、伪装和隐藏、伪装和隐藏如何查看隐藏文件如何查看隐藏文件? 992、伪装和隐藏、伪装和隐藏100如何解决无法显示隐藏文件？如何解决无法显示隐藏文件？ 方法一、通过瑞星卡卡上网安全助手自动修复方法一、通过瑞星卡卡上网安全助手自动修复 方法二、手动修改注册表方法二、手动修改注册表 方法三、制作注册表修复文件方法三、制作注册表修复文件 101 把下面内容存储成把下面内容存储成ShowALL.regShow

41、ALL.reg文件文件, ,双击该文件导双击该文件导入注册表即可入注册表即可Windows Registry Editor Version 5.00HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionExplorerAdvancedFolderHiddenNOHIDDENRegPath=SoftwareMicrosoftWindowsCurrentVersionExplorerAdvancedText=shell32.dll,-30501Type=radioCheckedValue=dword:00000002ValueName=Hi

42、ddenDefaultValue=dword:00000002HKeyRoot=dword:80000001HelpID=shell.hlp#51104HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionExplorerAdvancedFolderHiddenSHOWALLRegPath=SoftwareMicrosoftWindowsCurrentVersionExplorerAdvancedText=shell32.dll,-30500Type=radioCheckedValue=dword:00000001ValueName=H

43、iddenDefaultValue=dword:00000002HKeyRoot=dword:80000001HelpID=shell.hlp#51105HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionExplorerAdvancedFolderSuperHiddenType=checkboxText=shell32.dll,-30508WarningIfNotDefault=shell32.dll,-28964HKeyRoot=dword:80000001RegPath=SoftwareMicrosoftWindowsCurre

44、ntVersionExplorerAdvancedValueName=ShowSuperHiddenCheckedValue=dword:00000000UncheckedValue=dword:00000001DefaultValue=dword:00000000HelpID=shell.hlp#51103HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionExplorerAdvancedFolderSuperHiddenPolicyHKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentV

45、ersionExplorerAdvancedFolderSuperHiddenPolicyDontShowSuperHidden=102103二：手工清除篇104病毒清除的基本步骤1、设法不让病毒加载、设法不让病毒加载2、找到隐藏在根目录下的病毒文件、找到隐藏在根目录下的病毒文件3、删除根目录下的病毒文件、删除根目录下的病毒文件4、删除隐藏的病毒文件、删除隐藏的病毒文件5、修改注册表、修改注册表结合用一些结合用一些U盘病毒专杀工具盘病毒专杀工具1051、设法不让病毒加载、设法不让病毒加载方法：方法：（1）启动到安全模式）启动到安全模式（2）使用进程查看工具，查找可疑进程）使用进程查看工具，查找

46、可疑进程1062、找到隐藏在根目录下的病毒文件、找到隐藏在根目录下的病毒文件方法：（方法：（1）打开所有隐藏属性）打开所有隐藏属性1072、找到隐藏在根目录下的病毒文件、找到隐藏在根目录下的病毒文件方法：（方法：（2）用命令方式）用命令方式Attrib h r s a *.*1082、找到隐藏在根目录下的病毒文件、找到隐藏在根目录下的病毒文件方法：（方法：（3）用）用RAR压缩软件压缩软件软件工具软件工具winrar等等1093、删除根目录下的病毒文件、删除根目录下的病毒文件注意：注意：（1）一般包括）一般包括autorun.inf和另一个文件和另一个文件（2）不要双击不要双击打开磁盘打开磁盘

47、（3）不要运行）不要运行任何一个，立即删除任何一个，立即删除可以用批处理文件进行删除可以用批处理文件进行删除110删除病毒批处理文件内容cd C: attrib *.* -a -h s -r del *.* attrib autorun.inf -a -h s -r del autorun.inf D:E:F:1114、删除隐藏的病毒文件、删除隐藏的病毒文件最复杂，需要凭经验判断。最复杂，需要凭经验判断。结合查看可疑进程追根溯源，判断依据：结合查看可疑进程追根溯源，判断依据：（1）进程的名称和路径不相符的）进程的名称和路径不相符的（2）文件创建时间可疑的）文件创建时间可疑的（3）疑似系统文件，

48、但出现重复的）疑似系统文件，但出现重复的1125、修改注册表、修改注册表解决的问题：解决的问题：（1）删除病毒写在注册表中的启动项）删除病毒写在注册表中的启动项（2）修复由于病毒造成的磁盘不能打开等问题）修复由于病毒造成的磁盘不能打开等问题Regedit搜索所有跟病毒名有关的值，一律删除搜索所有跟病毒名有关的值，一律删除113三：预防篇114要点：扼杀病毒的来源1、 运行组策略编辑器运行组策略编辑器gpedit.msc， “系统系统”-关闭关闭“自动播放（运行）自动播放（运行）”115116要点：扼杀病毒的来源1171 1、关闭自动播放、关闭自动播放2 2、轻易不要双击打开外来、轻易不要双击打

49、开外来U U盘盘3 3、右键单击、右键单击U U盘出现可疑菜单条目时，立即杀毒盘出现可疑菜单条目时，立即杀毒4 4、自己的、自己的U U盘，放一个盘，放一个autorun.infautorun.inf文件，防止病文件，防止病 毒文件拷贝进来毒文件拷贝进来四：实例篇1181、Wincfgs病毒病毒文件：wincfgs.exe （c:windowssystem32wincfgs.exe）病毒名称：Trojanspy.USBpy.a相关症状：开机自动弹记事本，修改系统启动项，部分软件没有反应传播途径：U盘等移动存储危害性：暂无破坏性，只是开机跳出记事本。1191、Wincfgs病毒该病毒为一种蠕虫病

50、毒，其特征如下：蠕虫名称：Worm.Win32.Delf.aj（AVP）蠕虫别名：Trojan.Spy.UsbSpy.a、TrojanSpy.USBSpy.a120手工查杀步骤手工查杀步骤结束Wincfgs.exe进程显示所有隐藏文件删除病毒文件Wincfgs.exe, KB20060111.exe C:Windowssystem32wincfgs.exe C:WindowsKB20060111.exe修改注册表清除USB设备中的病毒文件RECYCLER、autorun.inf1、Wincfgs病毒121病毒文件：C:windowsimesvchost特别注意：（）正确的是c:windowss

51、ystem32svchost.exe（）最容易被病毒利用的文件名2、Thumbs.dnC,D,E,F盘出现拒绝访问 122解决方法：1、打开任务管理器（ctrl+alt+del或者任务栏右键点击也可），终止所有ravmone.exe的进程2、进入c:windows，删除其中的ravmone.exe3、进入c:windows，运行regedit.exe，在左边依次点开HK_Loacal_MachinesoftwareMicrosoftwindowsCurrentVersionRun，在右边可以看到一项数值是c:windowsravmone.exe的，删除掉4、完成后，病毒就被清除了。3、Ravm

52、on123杀掉U盘中的病毒的方法：在删除autorun.inf，msvcr71.dl，RavMonE.exe这三个文件时，直接删可能会删不掉的，要先到进程管理那了先结束RavMonE.exe再删除这三个文件，如果还不行就到安全模式里删.3、Ravmon注意：如果进程是Ravmon.exe ，这个应该是瑞星的程序而不病毒！1244、帕虫（帕虫（Worm.Pabug;U盘寄生虫）盘寄生虫） 125 四步就可导致电脑彻底崩溃：四步就可导致电脑彻底崩溃： 1.禁用所有杀毒软件禁用所有杀毒软件及相关安全工具，失去安全保障；及相关安全工具，失去安全保障； 2.破坏安全模式破坏安全模式，致使用户根本无法进入

53、安全模式清，致使用户根本无法进入安全模式清 除病毒；除病毒； 3.强行关闭带有病毒字样的网页，只要在网页中输入强行关闭带有病毒字样的网页，只要在网页中输入“病毒病毒”相关字样，网页遂被强行关闭，即使是一些安相关字样，网页遂被强行关闭，即使是一些安全论坛也无法登录，用户全论坛也无法登录，用户无法通过网络寻求解决办法无法通过网络寻求解决办法； 4.格式化系统盘重装后很容易被再次感染。格式化系统盘重装后很容易被再次感染。 1264、帕虫（帕虫（Worm.Pabug;U盘寄生虫）盘寄生虫） 该病毒通过映像劫持技术，将大量杀毒软件绑架，使其无法正常应用，而用户在点击相关安全软件后，实际上已经运行了病毒文

54、件。 位于注册表的HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindows NTCurrentVersionImage File Execution Options127先使用专杀工具先使用专杀工具 清除病毒清除病毒 后续的恢复系统的工作 128删除除了Your Image File Name Here without a pathSymbolic Debugger for Windows 2000 Microsoft Corporation c:windowssystem32 tsd.exe 以外的所有项目 1.恢复恢复IFEO 映像劫持映像劫持 使用使用auto

55、runs软件软件 ，由于这个软件也被，由于这个软件也被映像劫持了映像劫持了 所以要改名所以要改名 打开这个软件后打开这个软件后 找到找到Image hijack (映像劫持）映像劫持） 1292.恢复显示隐藏文件恢复显示隐藏文件 3.恢复安全模式恢复安全模式 4.最后也是最重要的就是删除各个分区下面的最后也是最重要的就是删除各个分区下面的autorun.inf和和7位或者位或者8位随机数字母的位随机数字母的exe注意：一定不要双击注意：一定不要双击 也不能右键打开也不能右键打开 一定用一定用winrar删除删除 130第四讲：病毒的综合防范技术措施一、单机下病毒的防范一、单机下病毒的防范二、小

56、型局域网的防范二、小型局域网的防范131一、单机下病毒防范l思想上重视、管理上到位思想上重视、管理上到位l依靠防杀病毒计算机软件依靠防杀病毒计算机软件132一、单机下病毒防范1、选择一个功能完善的单机版防杀计算、选择一个功能完善的单机版防杀计算机病毒软件机病毒软件（1）拥有病毒检测扫描器）拥有病毒检测扫描器同时提供对磁盘文件扫描和对系统进行动态同时提供对磁盘文件扫描和对系统进行动态监控功能监控功能DOS平台的病毒扫描器平台的病毒扫描器32位计算机病毒扫描器位计算机病毒扫描器1331、选择一个功能完善的单机版防杀计算、选择一个功能完善的单机版防杀计算机病毒软件机病毒软件（2）实时监控程序）实时监控程序（3）未知病毒的检测）未知病毒的检测（4）压缩文件内部检测）压缩文件内部检测（5）文件下载监视）文件下载监视（6）病毒清除能力）病毒清除能力（7）病毒特征代码库升级）病毒特征代码库升级一、单机下病毒防范1341、选择一个功能完善的单机版防杀计算、选择一个功能完善的单机版防杀计算机病毒软件机病毒软件（8）重要数据备份）重要数据备份（9）定时扫描设定）定时扫描设定（10）